Art. 26
Piani di risposta e ripristino relativi alle TIC
In vigore dal 13 mar 2024
Piani di risposta e ripristino relativi alle TIC
1. Nell’elaborare i piani di risposta e ripristino relativi alle TIC di cui all’, paragrafo 3, del regolamento (UE) 2022/2554, le entità finanziarie tengono conto dei risultati dell’analisi dell’impatto sulle attività aziendali (BIA) dell’entità finanziaria. Il piano di risposta e ripristino relativo alle TIC:
a)
specifica le condizioni che ne determinano l’attivazione o la disattivazione e le eventuali eccezioni per tale attivazione o disattivazione;
b)
descrive le azioni da intraprendere per garantire la disponibilità, l’integrità, la continuità e il ripristino almeno dei sistemi e dei servizi TIC a supporto di funzioni essenziali o importanti dell’entità finanziaria;
c)
è concepito per soddisfare gli obiettivi di ripristino delle operazioni delle entità finanziarie;
d)
è documentato e reso disponibile al personale coinvolto nell’esecuzione dei piani di risposta e ripristino relativi alle TIC ed è facilmente accessibile in caso di emergenza;
e)
prevede opzioni di ripristino sia a breve che a lungo termine, compreso il ripristino parziale dei sistemi;
f)
stabilisce gli obiettivi dei piani di risposta e ripristino relativi alle TIC e le condizioni per dichiarare la proficua esecuzione di tali piani.
Ai fini della lettera d), le entità finanziarie specificano chiaramente ruoli e responsabilità.
2. I piani di risposta e ripristino relativi alle TIC di cui al paragrafo 1 identificano gli scenari pertinenti, compresi quelli di gravi perturbazioni delle attività e di accresciuta probabilità del verificarsi di una perturbazione. Tali piani sviluppano scenari basati sulle informazioni correnti relative alle minacce e sugli insegnamenti tratti da precedenti eventi di perturbazioni delle attività. Le entità finanziarie tengono debitamente conto di tutti gli scenari seguenti:
a)
attacchi informatici e passaggio tra l’infrastruttura TIC primaria e la capacità ridondante, i backup e le attrezzature ridondanti;
b)
scenari in cui la qualità dell’esercizio di una funzione essenziale o importante si deteriora a un livello inaccettabile o viene meno, e considerano adeguatamente il potenziale impatto dell’insolvenza o di altre disfunzioni di pertinenti fornitori terzi di servizi TIC;
c)
disfunzione parziale o totale dei locali, compresi gli uffici e le sedi aziendali, e dei centri di elaborazione dati;
d)
disfunzione sostanziale delle risorse TIC o dell’infrastruttura di comunicazione;
e)
non disponibilità di un numero critico di personale o di membri del personale incaricati di garantire la continuità delle operazioni;
f)
impatto dei cambiamenti climatici e degli eventi legati al degrado ambientale, delle catastrofi naturali, delle pandemie e degli attacchi fisici, comprese le intrusioni e gli attacchi terroristici;
g)
attacchi interni;
h)
instabilità politica e sociale anche, se del caso, nella giurisdizione del fornitore terzo di servizi TIC e nel luogo in cui i dati sono memorizzati ed elaborati;
i)
interruzioni di corrente generalizzate.
3. Qualora non sia possibile attuare le misure primarie di ripristino a breve termine a causa di costi, rischi, logistica o circostanze impreviste, i piani di risposta e ripristino relativi alle TIC di cui al paragrafo 1 prendono in considerazione opzioni alternative.
4. Nell’ambito dei piani di risposta e ripristino relativi alle TIC di cui al paragrafo 1, le entità finanziarie considerano e attuano misure di continuità per attenuare le disfunzioni dei fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti dell’entità finanziaria.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1774:oj#art-26